نو، د برید کشف سیسټمونه. د شبکې بریدونو موندلو لپاره ترټولو زوړ او خورا مشهور میتود، کوم چې په محیط کې ښه دنده ترسره کوي (هیڅ اهمیت نلري - کارپوریټ، ډاټا مرکز، برخه، او نور)، مګر په عصري سویچ شوي او سافټویر تعریف شوي شبکې کې ناکامیږي. د یوې شبکې په حالت کې چې د دودیز سویچونو پراساس رامینځته شوی ، د برید کشف سینسر زیربنا خورا لوی کیږي - تاسو باید د هر نوډ سره د ارتباط لپاره سینسر نصب کړئ چیرې چې تاسو غواړئ بریدونه وڅارئ. البته، هر جوړونکی به خوشحاله وي چې تاسو په سلګونو او زرګونو سینسرونه وپلورئ، مګر زه فکر کوم چې ستاسو بودیجه د داسې لګښتونو ملاتړ نشي کولی. زه کولی شم ووایم چې حتی په سیسکو کې (او موږ د NGIPS پراختیا کونکي یو) موږ دا نشو کولی ، که څه هم داسې بریښي چې د نرخ مسله زموږ په وړاندې ده. زه باید ولاړ نه شم - دا زموږ خپله پریکړه ده. برسېره پردې، پوښتنه راپورته کیږي، څنګه په دې نسخه کې سینسر وصل کړئ؟ تشې ته؟ څه که سینسر پخپله ناکام شي؟ په سینسر کې د بای پاس ماډل ته اړتیا لرئ؟ سپلیټرونه (نل) وکاروئ؟ دا ټول حل خورا ګران کوي او دا د هرې اندازې شرکت لپاره د منلو وړ ندي.
تاسو کولی شئ هڅه وکړئ سینسر په SPAN/RSPAN/ERSPAN بندر کې "ځړول" کړئ او د اړتیا وړ سویچ بندرونو څخه مستقیم ترافیک ورته واستوئ. دا اختیار په یوه برخه کې هغه ستونزه لرې کوي چې په تیرو پراګراف کې تشریح شوي، مګر یو بل یې وړاندې کوي - د اسپان پورټ نشي کولی په بشپړ ډول ټول ټرافیک ومني چې ورته لیږل کیږي - دا به کافي بینډ ویت نلري. تاسو باید یو څه قرباني کړئ. یا هم ځینې نوډونه پرته له څارنې پریږدئ (بیا تاسو اړتیا لرئ لومړی دوی ته لومړیتوب ورکړئ)، یا د نوډ څخه ټول ټرافیک نه لیږئ، مګر یوازې یو ځانګړی ډول. په هر حالت کې، موږ ممکن ځینې بریدونه له لاسه ورکړو. سربیره پردې، د اسپان بندر د نورو اړتیاو لپاره کارول کیدی شي. د پایلې په توګه، موږ باید د موجوده شبکې ټوپولوژي بیاکتنه وکړو او په احتمالي توګه دې ته سمون ورکړو ترڅو ستاسو شبکه د سینسرونو شمیر سره اعظمي حد ته پوښ کړو (او دا د IT سره همغږي کړئ).
څه که ستاسو شبکه غیر متناسب لارې کاروي؟ څه که تاسو پلي کړي یا د SDN پلي کولو پلان لرئ؟ څه که تاسو د مجازی ماشینونو یا کانټینرونو نظارت کولو ته اړتیا لرئ چې ترافیک په هیڅ ډول فزیکي سویچ ته نه رسیږي؟ دا هغه پوښتنې دي چې دودیز IDS پلورونکي یې نه خوښوي ځکه چې دوی نه پوهیږي چې څنګه یې ځواب کړي. شاید دوی به تاسو قانع کړي چې دا ټول فیشني ټیکنالوژي هایپ دي او تاسو ورته اړتیا نلرئ. شاید دوی به د کوچني پیل کولو اړتیا په اړه خبرې وکړي. یا شاید دوی به ووایی چې تاسو اړتیا لرئ د شبکې په مرکز کې یو پیاوړی تریشر واچوئ او د بیلانس په کارولو سره ټول ټرافیک دې ته واستوئ. هر هغه اختیار چې تاسو ته وړاندیز کیږي، تاسو اړتیا لرئ په روښانه توګه پوه شئ چې دا ستاسو سره څنګه مناسب دی. او یوازې له هغې وروسته د شبکې زیربنا د معلوماتو امنیت څارنې لپاره د یوې تګلارې غوره کولو پریکړه وکړئ. د پاکټ نيولو ته راګرځم، زه غواړم ووايم چې دا ميتود خورا مشهور او مهم دی، مګر اصلي موخه يې د سرحد کنټرول دی. ستاسو د سازمان او انټرنیټ ترمنځ سرحدونه، د معلوماتو مرکز او پاتې شبکې ترمنځ سرحدونه، د پروسې کنټرول سیسټم او کارپوریټ برخې ترمنځ سرحدونه. په دې ځایونو کې، کلاسیک IDS/IPS لاهم حق لري چې شتون ولري او د دوی دندو سره ښه مقابله وکړي.
راځئ چې دویم اختیار ته لاړ شو. د شبکې وسیلو څخه د پیښو تحلیل هم د برید کشف اهدافو لپاره کارول کیدی شي ، مګر د اصلي میکانیزم په توګه نه ، ځکه چې دا اجازه ورکوي یوازې د مداخلې کوچنۍ طبقې کشف کړي. برسېره پردې، دا په یو څه غبرګون کې شتون لري - برید باید لومړی واقع شي، بیا باید د شبکې وسیله ثبت شي، کوم چې په یو ډول یا بل ډول به د معلوماتو امنیت سره ستونزه نښه کړي. داسې څو لارې شتون لري. دا کیدای شي syslog، RMON یا SNMP وي. د معلوماتو امنیت په شرایطو کې د شبکې څارنې لپاره وروستي دوه پروتوکولونه یوازې هغه وخت کارول کیږي کله چې موږ پخپله د شبکې تجهیزاتو باندې د DoS برید کشف کولو ته اړتیا لرو ، ځکه چې د RMON او SNMP کارول ممکن دي ، د مثال په توګه ، د وسیلې په مرکزي برخه کې د بار څارنه پروسیسر یا د هغې انٹرفیس. دا یو له "ارزانه" څخه دی (هرڅوک syslog یا SNMP لري)، مګر د داخلي زیربناوو د معلوماتو د امنیت د څارنې د ټولو میتودونو څخه خورا اغیزمن هم دی - ډیری بریدونه په ساده ډول له دې څخه پټ دي. البته، دوی باید له پامه ونه غورځول شي، او د ورته سیسلوګ تحلیل تاسو سره په وخت سره د وسیلې په ترتیب کې بدلونونو پیژندلو کې مرسته کوي، د هغې موافقت، مګر دا په ټوله شبکه کې د بریدونو کشف کولو لپاره خورا مناسب ندي.
دریم اختیار د یوې وسیلې له لارې د ترافیک تیریدو په اړه معلومات تحلیل کول دي چې د ډیری جریان پروتوکولونو څخه یو ملاتړ کوي. په دې حالت کې، د پروتوکول په پام کې نیولو پرته، د تار کولو زیربنا اړینه ده چې درې برخې ولري:
د جریان تولید یا صادرول. دا رول معمولا یو روټر، سویچ یا د شبکې نورو وسایلو ته ګمارل کیږي، کوم چې د خپل ځان له لارې د شبکې ټرافيک تیرولو سره تاسو ته اجازه درکوي چې له هغې څخه کلیدي پیرامیټونه استخراج کړئ، کوم چې بیا د راټولولو ماډل ته لیږدول کیږي. د مثال په توګه، سیسکو د نیټ فلو پروتوکول ملاتړ کوي نه یوازې په روټرونو او سویچونو کې، په شمول د مجازی او صنعتي توکو په شمول، بلکې د بېسیم کنټرولرونو، فایر والونو او حتی سرورونو کې هم.
د راټولولو جریان. د دې په پام کې نیولو سره چې عصري شبکه معمولا له یو څخه ډیر شبکې وسایل لري، د جریانونو راټولولو او یوځای کولو ستونزه رامینځته کیږي، کوم چې د نامتو راټولونکو په کارولو سره حل کیږي، کوم چې ترلاسه شوي جریان پروسس کوي او بیا یې د تحلیل لپاره لیږدوي.
د جریان تحلیل شنونکی اصلي فکري دنده په غاړه اخلي او په جریانونو کې د مختلف الګوریتمونو پلي کول ، ځینې پایلې راوباسي. د مثال په توګه، د IT فعالیت د یوې برخې په توګه، دا ډول تحلیل کوونکی کولی شي د شبکې خنډونه وپیژني یا د شبکې نور اصلاح کولو لپاره د ټرافیک بار پروفایل تحلیل کړي. او د معلوماتو امنیت لپاره، دا ډول تحلیل کوونکی کولی شي د معلوماتو لیک، د ناوړه کوډ خپریدل یا د DoS بریدونو کشف کړي.
فکر مه کوئ چې دا درې درجې جوړښت خورا پیچلی دی - نور ټول اختیارونه (پرته له دې چې د شبکې نظارت سیسټمونه چې د SNMP او RMON سره کار کوي) هم د دې مطابق کار کوي. موږ د تحلیل لپاره د ډیټا جنراتور لرو، کوم چې کیدای شي د شبکې وسیله یا یو واحد سینسر وي. موږ د ټول څارنې زیربنا لپاره د الارم راټولولو سیسټم او د مدیریت سیسټم لرو. وروستي دوه برخې په یو واحد نوډ کې یوځای کیدی شي، مګر په ډیرو یا لږو لویو شبکو کې دوی معمولا لږترلږه دوه وسیلو کې خپریږي ترڅو د توزیع او اعتبار ډاډ ترلاسه کړي.
د پاکټ تحلیل برعکس، کوم چې د هر پاکټ سرلیک او د بدن ډیټا مطالعې پراساس دی او هغه ناستې چې پکې شاملې دي، د جریان تحلیل د شبکې ترافیک په اړه د میټاډاټا راټولولو باندې تکیه کوي. کله، څومره، له کومه ځایه او له کومه ځایه، څنګه... دا هغه پوښتنې دي چې د شبکې د ټیلی میټري تحلیل د مختلف جریان پروتوکولونو په کارولو سره ځواب شوي. په پیل کې، دوی د احصایو تحلیل کولو او په شبکه کې د معلوماتي ټکنالوجۍ ستونزې موندلو لپاره کارول کیده، مګر بیا، لکه څنګه چې تحلیلي میکانیزمونه رامینځته شوي، دا ممکنه شوه چې د امنیتي موخو لپاره ورته ټیلی میټري کې پلي شي. دا بیا د یادولو وړ ده چې د جریان تحلیل د پاکټ نیول بدل یا بدل نه کوي. د دې میتودونو هر یو د غوښتنلیک ساحه لري. مګر د دې مقالې په شرایطو کې، دا د جریان تحلیل دی چې د داخلي زیربناوو د څارنې لپاره خورا مناسب دی. تاسو د شبکې وسایل لرئ (ایا دوی د سافټویر تعریف شوي تمثیل کې کار کوي یا د جامد قواعدو سره سم) چې برید نشي کولی تیر شي. دا کولی شي د کلاسیک IDS سینسر څخه تیر شي، مګر د شبکې وسیله چې د جریان پروتوکول ملاتړ کوي نشي کولی. دا د دې میتود ګټه ده.
له بلې خوا، که تاسو د قانون پلي کونکي یا ستاسو د پیښې تحقیقاتي ټیم لپاره شواهدو ته اړتیا لرئ، تاسو د پاکټ نیول پرته نشي کولی - د شبکې ټیلی میټری د ټرافیک یوه کاپي نه ده چې د شواهدو راټولولو لپاره کارول کیدی شي؛ دا د معلوماتو امنیت په ساحه کې د ګړندي کشف او پریکړې کولو لپاره اړین دی. له بلې خوا، د ټیلی میټري تحلیلونو په کارولو سره، تاسو کولی شئ د شبکې ټول ټرافیک نه "ولیکئ" (که څه هم وي، سیسکو د ډیټا مرکزونو سره معامله کوي :-)، مګر یوازې هغه څه چې په برید کې ښکیل دي. په دې اړه د ټیلی میټري تحلیلي وسیلې به د دودیز پیکټ نیول میکانیزمونه په ښه توګه بشپړ کړي، د انتخابي نیولو او ذخیره کولو امرونه ورکوي. که نه نو، تاسو باید د ذخیره کولو لوی زیربنا ولرئ.
راځئ یوه شبکه تصور کړو چې د 250 Mbit/sec په سرعت سره کار کوي. که تاسو غواړئ دا ټول حجم ذخیره کړئ، نو تاسو به د ټرافیک لیږد د یوې ثانیې لپاره 31 MB ذخیره کولو ته اړتیا ولرئ، 1,8 GB د یوې دقیقې لپاره، 108 GB د یو ساعت لپاره، او 2,6 TB د یوې ورځې لپاره. د 10 Gbit/s بنډ ویت سره د شبکې څخه د ورځني ډیټا ذخیره کولو لپاره ، تاسو به 108 TB ذخیره کولو ته اړتیا ولرئ. مګر ځینې تنظیم کونکي د کلونو لپاره د امنیت ډیټا ذخیره کولو ته اړتیا لري ... د غوښتنې پراساس ثبت کول ، کوم چې د جریان تحلیل تاسو سره پلي کولو کې مرسته کوي ، د اندازې امرونو سره د دې ارزښتونو کمولو کې مرسته کوي. په هرصورت، که موږ د ثبت شوي شبکې ټیلی میټري ډیټا حجم او بشپړ ډیټا نیول تناسب په اړه وغږیږو ، نو دا نږدې 1 څخه تر 500 پورې دی. د ورته ارزښتونو لپاره چې پورته ورکړل شوي ، د ټولو ورځني ترافیک بشپړ لیږد ذخیره کول په ترتیب سره به 5 او 216 GB وي (تاسو کولی شئ دا په منظم فلش ډرایو کې ثبت کړئ).
که چیرې د خام شبکې ډیټا تحلیل کولو وسیلو لپاره ، د دې نیولو طریقه له پلورونکي څخه پلورونکي ته نږدې ورته وي ، نو د جریان تحلیل په حالت کې وضعیت توپیر لري. د جریان پروتوکولونو لپاره ډیری اختیارونه شتون لري، هغه توپیرونه چې تاسو یې اړتیا لرئ د امنیت په شرایطو کې پوه شئ. ترټولو مشهور د نیټ فلو پروتوکول دی چې د سیسکو لخوا رامینځته شوی. د دې پروتوکول ډیری نسخې شتون لري، د دوی په وړتیاوو او د ثبت شوي ترافیک معلوماتو مقدار کې توپیر لري. اوسنۍ نسخه نهم (Netflow v9) دی، چې پر بنسټ یې د صنعت معیاري Netflow v10، چې د IPFIX په نوم هم پیژندل شوی، رامینځته شوی. نن ورځ، د شبکې ډیری پلورونکي په خپلو تجهیزاتو کې د Netflow یا IPFIX ملاتړ کوي. مګر د فلو پروتوکولونو لپاره مختلف نور اختیارونه شتون لري - sFlow، jFlow، cFlow، rFlow، NetStream، او داسې نور، چې sFlow خورا مشهور دی. دا دا ډول دی چې ډیری وختونه د شبکې تجهیزاتو کورني تولید کونکو لخوا د پلي کولو اسانتیا له امله ملاتړ کیږي. د Netflow ترمنځ کلیدي توپیرونه کوم دي، کوم چې د حقیقت معیار بدل شوی، او sFlow؟ زه به څو کلیدي په ګوته کړم. لومړی ، Netflow د کارونکي لخوا دودیز شوي ساحې لري لکه څنګه چې په sFlow کې د ثابت ساحو سره مخالف دي. او دوهم، او دا زموږ په قضیه کې خورا مهم شی دی، sFlow د نمونې ټیلی میټري راټولوي؛ د Netflow او IPFIX لپاره د نمونې نه اخیستل شوي برعکس. د دوی ترمنځ توپیر څه دی؟
تصور وکړئ چې تاسو پریکړه وکړه چې کتاب ولولئ "د امنیتي عملیاتو مرکز: ستاسو د SOC جوړول، عملیات، او ساتلزما د همکارانو څخه - ګاري مکینټیر، جوزف مونیټز او ندیم الفاردان (تاسو کولی شئ د کتاب یوه برخه له لینک څخه ډاونلوډ کړئ). تاسو خپل هدف ته د رسیدو لپاره درې اختیارونه لرئ - ټول کتاب ولولئ، د هغې له لارې سکیم وکړئ، په هر 10 یا 20 پاڼې کې ودریږئ، یا په بلاګ یا خدمت کې د کلیدي مفاهیمو بیا بیانولو هڅه وکړئ لکه SmartReading. نو، بې نمونه ټیلی میټری د شبکې ترافیک هره "پاڼه" لوستل کیږي، دا د هر پاکټ لپاره د میټاډاټا تحلیل کول دي. نمونه شوي ټیلی میټري د ټرافیک انتخابي مطالعه ده پدې هیله چې غوره شوي نمونې به هغه څه ولري چې تاسو ورته اړتیا لرئ. د چینل سرعت پورې اړه لري، نمونه شوي ټیلی میټري به په هر 64، 200، 500، 1000، 2000 یا حتی 10000 پیکټ کې د تحلیل لپاره لیږل کیږي.
د معلوماتو امنیت څارنې په شرایطو کې، دا پدې مانا ده چې نمونه شوي ټیلی میټری د DDoS بریدونو کشف کولو، سکین کولو، او ناوړه کوډ خپرولو لپاره مناسب دی، مګر کیدای شي اټومي یا څو پیکټ بریدونه له لاسه ورکړي چې د تحلیل لپاره لیږل شوي نمونې کې شامل ندي. بې نمونه ټیلی میټری دا ډول زیانونه نلري. له دې سره، د کشف شویو بریدونو لړۍ خورا پراخه ده. دلته د پیښو لنډ لیست دی چې د شبکې ټیلی میټري تحلیلي وسیلو په کارولو سره کشف کیدی شي.
البته ، ځینې خلاصې سرچینې Netflow تحلیل کونکی به تاسو ته اجازه ورنکړي چې دا کار وکړي ، ځکه چې د دې اصلي دنده د ټیلی میټري راټولول او د IT له لید څخه پدې باندې لومړني تحلیل ترسره کول دي. د جریان پراساس د معلوماتو امنیت ګواښونو پیژندلو لپاره ، دا اړینه ده چې تحلیل کونکي د مختلف انجنونو او الګوریتمونو سره سمبال کړئ ، کوم چې به د معیاري یا دودیز Netflow ساحو پراساس د سایبر امنیت ستونزې وپیژني ، د مختلف ګواښ استخباراتو سرچینو څخه بهرني ډیټا سره معیاري ډیټا بډایه کړي ، او داسې نور.
له همدې امله ، که تاسو انتخاب لرئ ، نو Netflow یا IPFIX غوره کړئ. مګر حتی که ستاسو تجهیزات یوازې د کورني تولید کونکو په څیر د sFlow سره کار کوي ، نو حتی پدې حالت کې تاسو کولی شئ په امنیتي شرایطو کې ترې ګټه پورته کړئ.
ډیر آرام نه دی. تاسو کولی شئ د iSiLK GUI وکاروئ ، مګر دا به ستاسو ژوند خورا اسانه نه کړي ، یوازې د لید فعالیت حل کول او د شنونکي ځای نه نیسي. او دا دوهم ټکی دی. د سوداګریزو حلونو برخلاف ، کوم چې دمخه یو قوي تحلیلي اساس لري ، د انومالي کشف الګوریتمونه ، ورته کاري فلو ، او داسې نور ، د SiLK په قضیه کې تاسو باید دا ټول پخپله ترسره کړئ ، کوم چې به تاسو ته د دمخه چمتو شوي کارولو په پرتله یو څه مختلف وړتیاو ته اړتیا ولري. د کارولو وسیلې. دا نه ښه دی او نه بد - دا د نږدې هرې وړیا وسیلې ځانګړتیا ده چې ګومان کوي چې تاسو پوهیږئ چې څه وکړئ، او دا به یوازې تاسو سره پدې کې مرسته وکړي (تجارتي وسیلې د خپلو کاروونکو وړتیاو پورې اړه لري، که څه هم دوی هم فرض کوي. دا چې شنونکي لږترلږه د شبکې تحقیقاتو او څارنې اساسات پوهیږي). مګر راځئ چې بیرته سلک ته راشو. د دې سره د شنونکي کاري دوره داسې ښکاري:
د فرضیې جوړول. موږ باید پوه شو چې موږ به د شبکې ټیلی میټري دننه څه په لټه کې یو، هغه ځانګړي ځانګړتیاوې وپیژنو چې له مخې به یې موږ ځینې ګډوډي یا ګواښونه وپیژنو.
د ماډل جوړول. د فرضیې په جوړولو سره، موږ دا د ورته Python، شیل یا نورو وسیلو په کارولو سره پروګرام کوو چې په SiLK کې شامل ندي.
ازموینه. دا وخت دی چې زموږ د فرضیې درستیت وڅیړئ، کوم چې د 'rw'، 'set'، 'bag' سره پیل شوي د SiLK اسانتیاوو په کارولو سره تایید یا رد شوی.
د جریانونو څارلو لپاره، د Netflow v9 یا IPFIX وکاروئ - دوی په امنیتي شرایطو کې نور معلومات چمتو کوي او تاسو ته اجازه درکوي چې نه یوازې IPv4، بلکې IPv6، MPLS، او نور هم وڅاري.
د نمونې پرته جریان پروتوکول وکاروئ - دا د ګواښونو موندلو لپاره نور معلومات چمتو کوي. د مثال په توګه، Netflow یا IPFIX.
ستاسو د شبکې تجهیزاتو بار چیک کړئ - دا ممکن د جریان پروتوکول هم اداره کولو توان ونلري. بیا د مجازی سینسرونو یا د نیټ فلو تولید وسیله کارولو په اړه فکر وکړئ.
ما په ځانګړي ډول د شبکې جریانونو کې پیژندل شوي ګډوډي یا ګواښونو ته د ځواب ویلو موضوع ته تماس نه دی نیولی ، مګر زه فکر کوم چې دا دمخه روښانه ده چې نظارت باید یوازې د ګواښ په موندلو پای ته ونه رسیږي. دا باید د ځواب لخوا تعقیب شي او په غوره توګه په اتوماتیک یا اتوماتیک حالت کې. مګر دا د جلا مقالې لپاره موضوع ده.